FF 2013 Volume 34 P. 5721

013.064 Messaggio concernente la modifica della legge federale sul servizio informazioni civile del 14 agosto 2013

Onorevoli presidenti e consiglieri, con il presente messaggio vi sottoponiamo, per approvazione, il disegno di modifica della legge federale sul servizio informazioni civile.

Gradite, onorevoli presidenti e consiglieri, l'espressione della nostra alta considerazione.

14 agosto 2013

In nome del Consiglio federale svizzero: Il presidente della Confederazione, Ueli Maurer La cancelliera della Confederazione, Corina Casanova

2012-1451

5721

Compendio Il presente disegno di legge crea una base legale formale per la gestione del «Sistema d'informazione Sicurezza esterna» del Servizio delle attività informative della Confederazione.

Situazione iniziale Il Servizio delle attività informative della Confederazione (SIC) è nato dalla fusione del servizio informazioni interno (Servizio di analisi e prevenzione) con il servizio informazioni concernente l'estero (Servizio informazioni strategico). Nella sua forma attuale il SIC esiste dal 1° gennaio 2010. Il medesimo giorno è entrata in vigore anche la legge federale sul servizio informazioni civile (LSIC) approvata dalle Camere federali il 3 ottobre 2008. Al momento dell'adozione il legislatore è partito dal presupposto che i compiti disciplinati nella LSIC sarebbero stati adempiuti da due servizi separati sotto il profilo organizzativo, il Servizio di analisi e prevenzione e il Servizio informazioni strategico.

Dopo la fusione il SIC si è trovato nella situazione particolare di dover applicare due diverse basi legali per il trattamento delle sue informazioni. La legge federale sulle misure per la salvaguardia della sicurezza interna disciplina esaurientemente il trattamento dei dati del SIC concernenti l'interno nel «Sistema d'informazione Sicurezza interna (ISIS)». Per contro, la regolamentazione estratta dalla legge militare e integrata nella LSIC per il trattamento dei dati concernenti l'estero non è più in grado di soddisfare le esigenze attuali riguardanti una base legale per il trattamento automatizzato dei dati. Mentre ISIS è operativo nella sua forma attuale già dal 2005, il Sistema d'informazione Sicurezza esterna (ISAS) è stato introdotto il 21 giugno 2010 come esercizio pilota ai sensi dell'articolo 17a della legge federale sulla protezione dei dati (LPD). L'8 giugno 2012 il Consiglio federale, sulla base di un rapporto di valutazione, ha rilasciato l'autorizzazione per proseguire, nel quadro dell'esercizio pilota il trattamento dei dati per altri tre anni, vale a dire fino al mese di giugno 2015. Secondo la LPD, nel caso di un esercizio pilota, il trattamento automatizzato dei dati deve in ogni caso essere interrotto se la relativa base giuridica non è entrata in vigore mediante una legge in senso formale entro cinque anni dalla messa in opera del sistema pilota (art. 17a
cpv. 5 LPD).

Gli attuali sistemi d'informazione saranno in futuro disciplinati nella legge sul servizio informazioni, attualmente in fase di elaborazione. Non è però possibile essere certi che la legge sul servizio informazioni sarà già entrata in vigore nel giugno 2015. Pertanto, mediante la creazione di una base legale formale nella LSIC occorre garantire che ISAS possa continuare a funzionare anche se la nuova legge sul servizio informazioni non sarà ancora entrata in vigore nel mese di giugno 2015.

Poiché il disegno di legge prevede prescrizioni più severe rispetto all'esercizio pilota in materia di controllo della qualità, soprattutto dal momento che soltanto il collegamento di ISIS con ISAS, mantenendo la logica separazione, consente una valutazione globale della situazione di minaccia, è opportuna una rapida attuazione del presente disegno.

5722

Contenuto del progetto L'attuale trattamento dei dati in ISAS è disciplinato a livello di ordinanza. Poiché ciò ha dimostrato la sua efficacia durante la fase di test, i relativi disciplinamenti saranno ora ripresi a livello di legge. Si renderà inoltre necessario adeguare la struttura della LSIC. Con la creazione della base legale per ISAS saranno in particolare disciplinati gli aspetti seguenti: organo responsabile e scopo, contenuto e struttura del sistema d'informazione, controllo della qualità, diritti d'accesso, comunicazione di dati personali ad autorità svizzere ed estere e a terzi, diritto di essere informati, durata di conservazione e archiviazione.

5723

Messaggio 1

Punti essenziali del progetto

1.1

Situazione iniziale

Il 1° gennaio 2009 le componenti dell'Ufficio federale di polizia (felpol) che si occupavano di attività informative sono state trasferite al Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) e raggruppate dal 1° gennaio 2010 con il Servizio informazioni strategico (SIS) in un nuovo ufficio federale: il Servizio delle attività informative della Confederazione (SIC).

Il 1° gennaio 2010 è entrata in vigore anche la legge federale sul servizio informazioni civile1 (LSIC), approvata dalle Camere federali il 3 ottobre 2008. Al momento in cui è stata approvata la LSIC, il legislatore presumeva che i compiti nel settore del servizio informazioni civile sarebbero stati adempiuti da due servizi separati sotto il profilo organizzativo, ossia il SIS e il Servizio di analisi e prevenzione (SAP). In tale contesto ogni servizio avrebbe continuato a trattare le sue informazioni nel proprio sistema d'informazione fondandosi sulla rispettiva base legale.

Dopo la fusione il SIC si è trovato nella situazione particolare di dover applicare due diverse basi legali per il trattamento delle sue informazioni. Devono essere rigorosamente osservate le norme più restrittive della legge federale del 21 marzo 19972 sulle misure per la salvaguardia della sicurezza interna (LMSI), evitando però di limitare inutilmente l'attività del servizio informazioni concernente l'estero. Il nostro Collegio ha pertanto deciso di estendere, in linea di principio, le norme più severe della LMSI in materia di trattamento dei dati a tutte le informazioni aventi una relazione diretta con la Svizzera e i suoi abitanti. Le norme meno severe della LSIC si applicano esclusivamente a informazioni del SIC concernenti l'estero e senza alcuna relazione diretta con la Svizzera. La conseguenza è che i dati del SIC, a seconda che abbiano, a livello di contenuto, una relazione diretta con la Svizzera o concernano esclusivamente l'estero, sono trattati in sistemi d'informazione differenti: i «dati concernenti l'interno» sono trattati nel «Sistema d'informazione Sicurezza interna (ISIS)» e i «dati concernenti l'estero» nel «Sistema d'informazione Sicurezza esterna (ISAS)».

Mentre ISIS è operativo nella sua forma attuale già dal 2005, ISAS è stato introdotto il 21 giugno 2010 come esercizio pilota ai sensi dell'articolo
17a della legge federale del 19 giugno 19923 sulla protezione dei dati (LPD).

L'articolo 17a LPD costituisce una deroga all'esigenza di una base giuridica formale per il trattamento di dati personali degni di particolare protezione e di profili della personalità. La disposizione consente al nostro Collegio di autorizzare un simile trattamento prima che siano approvate le basi giuridiche necessarie se, come nel caso di ISAS, è assolutamente indispensabile una fase di test.

Secondo l'articolo 17a capoverso 4 LPD l'organo federale competente deve presentare un rapporto di valutazione al nostro Collegio al più tardi due anni dopo la messa 1 2 3

RS 121 RS 120 RS 235.1

5724

in opera del sistema pilota, proponendo la continuazione o l'interruzione del trattamento dei dati. Il nostro Collegio ha approvato il relativo rapporto di valutazione l'8 giugno 2012 e ha rilasciato l'autorizzazione per proseguire il trattamento dei dati per altri tre anni, vale a dire fino al mese di giugno 2015. Se fino ad allora non vi sarà alcuna base giuridica formale, il trattamento dei dati dovrà essere interrotto (cfr.

art. 17a cpv. 5 LPD).

La legge sul servizio informazioni (LSI), attualmente in fase di elaborazione, prevede un nuovo concetto per il trattamento e la conservazione dei dati che succederà agli attuali sistemi di trattamento dei dati ISIS e ISAS. Non è però possibile essere sufficientemente certi che la LSI sarà già entrata in vigore nel mese di giugno 2015.

Occorre pertanto garantire, con la creazione di una base legale, che ISAS possa continuare a funzionare anche se i lavori relativi alla LSI dovessero protrarsi oltre il mese di giugno 2015. Il presente disegno di modifica della LSIC tiene però in considerazione nei limiti del possibile i risultati delle due consultazioni degli uffici in merito alla LSI che hanno sinora avuto luogo. La presente revisione parziale interessa quindi soltanto il trattamento dei dati del SIC concernenti l'estero, vale a dire dei dati concernenti l'estero senza relazione diretta con la Svizzera.

1.2

La nuova normativa proposta

L'attuale trattamento dei dati nel quadro del sistema pilota ISAS è disciplinato a livello di ordinanza (cfr. art. 1724 dell'ordinanza del 4 dicembre 20094 sui sistemi d'informazione del Servizio delle attività informative della Confederazione [OSISIC]).

Con la presente revisione parziale della LSIC sarà creata la base legale necessaria affinché ISAS possa continuare a funzionare senza interruzioni anche dopo il mese di giugno 2015, se entro tale scadenza la LSI non dovesse ancora essere entrata in vigore. Per il disciplinamento di ISAS nella LSIC è necessaria la creazione di diversi articoli. Sarà quindi necessario adeguare la struttura della legge e articolarla in sezioni. La sezione destinata a ISAS disciplina i punti seguenti:

4

organo responsabile;

scopo;

contenuto;

controllo della qualità;

struttura;

diritti d'accesso;

comunicazione di dati personali;

diritto di essere informati;

durata di conservazione;

RS 121.2

5725

archiviazione;

disposizioni esecutive.

Per i commenti dettagliati ai singoli articoli vedi il numero 2.

1.3

Motivazione e valutazione della soluzione proposta

Il rapporto di valutazione approvato dal Consiglio federale conclude quanto segue in merito all'esercizio pilota: «La fase di test del sistema pilota ISAS ha mostrato che soddisfa sia i requisiti funzionali degli utenti per quanto riguarda le analisi, sia gli oneri legali e delle autorità. Il sistema pilota ISAS ... funziona in maniera stabile».

In altre parole, l'esercizio pilota ha dato buoni risultati, per cui è stata approvata una proroga di altri tre anni.

I relativi disciplinamenti saranno ora ripresi a livello di legge.

La presente revisione parziale, da un lato, introduce la suddivisione in sezioni che consente maggiore chiarezza senza cambiarne materialmente il contenuto e, dall'altro, contiene una normativa per un sistema d'informazione gestito e mantenuto esclusivamente dalla Confederazione. In tale sistema sono contenuti dati concernenti l'estero senza relazione diretta con la Svizzera. Il progetto pilota in corso ha, tra l'altro, consentito di ottimizzare le prescrizioni in materia di trattamento delle informazioni in vista di un nuovo disciplinamento legale. Al momento della valutazione del progetto pilota nell'estate 2012 esso non ha dato adito ad alcuna contestazione. Il contenuto sostanziale della regolamentazione in vigore non sarà modificato con la presente revisione. Dal punto di vista temporale si tratta presumibilmente di una regolamentazione transitoria di durata limitata, poiché con l'entrata in vigore della LSI le prescrizioni in materia di servizio informazioni presenti in diversi atti normativi, tra i quali rientra anche la LSIC, saranno abrogate. La revisione della legge non interessa inoltre né la raccolta dei dati all'estero né il loro utilizzo da parte del SIC; è disciplinato «unicamente» il trattamento di detti dati da parte del SIC.

Una certa urgenza temporale è data in quanto la revisione parziale deve entrare in vigore al più tardi al termine del progetto pilota e sino ad allora dovranno essere approvate anche le conseguenti modifiche di ordinanze e istruzioni.

Poiché nel contesto globale della nuova legge sul servizio informazioni, in fase di elaborazione, la revisione parziale della LSIC è una semplice regolamentazione transitoria e quindi un progetto di portata minore, soprattutto visto che ISAS è un sistema d'informazione gestito e alimentato esclusivamente
dalla Confederazione (senza coinvolgimento diretto dei Cantoni) e da una procedura di consultazione non ci si doveva quindi attendere nuovi riscontri sull'esattezza materiale, sull'idoneità all'attuazione o sul grado di consenso del progetto, è stata eseguita un'indagine conoscitiva. In questo contesto occorre inoltre osservare che tutte le cerchie interessate hanno potuto esprimersi in merito al futuro disciplinamento definitivo nell'ambito della consultazione relativa alla LSI.

L'indagine conoscitiva è stata avviata dal DDPS il 27 febbraio 2013 e si è protratta sino al 31 maggio 2013. Complessivamente sono stati contattati 24 destinatari. Al DDPS sono giunte complessivamente 15 risposte, di cui cinque che si limitavano a comunicare l'esplicita rinuncia a esprimere un parere.

5726

Il PPD e il PLR appoggiano la revisione della legge. L'UDC appoggia a sua volta la revisione, ma esprime delle riserve in relazione alla Convenzione europea sui diritti dell'uomo. Il PS è favorevole alla creazione di una base legale e propone diverse modifiche materiali.

La Conferenza delle direttrici e dei direttori dei dipartimenti cantonali di giustizia e polizia accoglie favorevolmente la creazione di una base legale per l'esercizio di ISAS.

L'Unione svizzera delle arti e mestieri respinge il progetto finché vi sarà un collegamento delle banche dati ISIS e ISAS e finché i dati saranno subordinati alla legge sulla trasparenza e ritiene che debbano essere chiarite le nozioni di «interno» ed «estero». Il «Centre Patronal» e la «Chambre vaudoise des arts et métiers» appoggiano la revisione della legge a condizione che le nuove disposizioni non entrino in vigore prima del mese di giugno 2015.

«Privatim» si compiace che già prima della conclusione della fase pilota concernente ISAS sia creata una base legale formale e che il progetto confermi il rispetto delle elevate esigenze in materia di densità normativa e dei criteri relativi alla delega di competenze legislative al Consiglio federale.

«Referendum LMSI» respinge con decisione il progetto e parte dal presupposto che l'esercizio pilota possa essere sospeso alla fine di giugno 2015 senza modifiche della legge.

Di conseguenza, l'avamprogetto è stato rielaborato. Le modifiche principali rispetto al progetto per l'indagine conoscitiva sono:

contenuto: limitazione esplicita allo scopo e alla riformulazione della regolamentazione relativa al trattamento di informazioni false;

controllo della qualità: applicabilità delle direttive del controllo di qualità ISIS in caso di doppie registrazioni in ISAS e in ISIS;

diritti d'accesso: apertura dell'indice agli organi federali competenti per i controlli di sicurezza relativi alle persone;

comunicazione di dati personali ad autorità estere: comunicazione di dati anche per impedire o chiarire un delitto punibile anche in Svizzera;

archiviazione: limitazione del diritto di consultazione dopo l'avvenuta archiviazione ai casi di tutela di un interesse pubblico o privato preponderante o della valutazione di minacce alla sicurezza interna o esterna della Svizzera;

disposizioni d'esecuzione: definizione del catalogo dei dati personali trattabili.

1.4

Diritto comparato e rapporto con il diritto europeo

Nel quadro dei lavori preliminari relativi alla LSI nel settembre 2011 il Center for Security Studies del Politecnico federale di Zurigo ha elaborato il rapporto esaustivo5 «servizi informazioni civili nel contesto europeo della Svizzera» («Zivile Nachrichtendienstsysteme im europäischen Umfeld der Schweiz», disponibile 5

Questo rapporto è consultabile al seguente indirizzo: www.css.ethz.ch > Think-Tank > Schweiz: Produkte

5727

unicamente in tedesco). In particolare sono stati paragonati servizi informazioni civili scelti concernenti l'interno e l'estero.

Nel contesto europeo Paesi Bassi, Spagna, Lussemburgo e Slovenia dispongono ciascuno di un servizio informazioni civile che, come è attualmente il caso anche in Svizzera, è competente sia per l'interno che per l'estero. I servizi di tutti e quattro i Paesi collaborano con le autorità di polizia del rispettivo Stato nonché con servizi informazioni e servizi di sicurezza esteri.

I quattro servizi informazioni sono competenti per il servizio informazioni concernente l'interno e l'estero. I compiti comprendono in particolare la raccolta di informazioni concernenti l'estero rilevanti per gli interessi strategici, politici ed economici del Paese in questione. La gestione da parte dei servizi informazioni dei dati personali e i diritti delle persone interessate sono disciplinati nel caso dei Paesi Bassi e della Slovenia nella rispettiva legge sul servizio informazioni. In Spagna non sembra esistere alcuna normativa specifica relativa alla protezione dei dati per quanto riguarda i servizi informazioni. Secondo la legge sul servizio informazioni del Lussemburgo il servizio informazioni statale è soggetto alle normali condizioni relative alla protezione dei dati che, nell'interesse della sicurezza nazionale, consentono alcune eccezioni nella gestione dei dati personali.

1.5

Attuazione

Per quanto riguarda l'attuazione è possibile ricorrere interamente alle strutture federali esistenti presso il SIC.

2

Commento ai singoli articoli

I requisiti relativi alla densità normativa delle basi legali per l'esercizio di un sistema di trattamento automatizzato dei dati personali sono elevati [cfr. «Leitfaden des Bundesamtes für Justiz für die Erarbeitung der Rechtsgrundlagen für den Betrieb eines Systems zur automatisierten Bearbeitung von Personendaten» (Guida dell'Ufficio federale di giustizia per l'elaborazione delle basi legali necessarie per l'esercizio di un sistema di trattamento dei dati personali6, disponibile unicamente in tedesco)], ciò che comporta una regolamentazione di ISAS in 13 nuovi articoli. Per questo motivo la presente revisione della legge ha costituito anche lo spunto per dare una nuova struttura alla LSIC. A livello materiale soltanto la nuova sezione 5 (Sistema d'informazione Sicurezza esterna) integra delle novità, per il resto sono riprese le regolamentazioni in vigore. La LSIC è ora suddivisa nelle 8 sezioni seguenti:

6

Sezione 1:

Compiti e organizzazioni

Sezione 2:

Collaborazione

Sezione 2:

Trattamento dei dati personali

Sezione 4:

Trattamento dei dati personali raccolti in virtù della LMSI

www.ejpd.admin.ch > Themen > Staat & Bürger > Legistik > Andere Hilfsmittel

5728

Sezione 5:

Sistema d'informazione Sicurezza esterna

Sezione 6:

Protezione delle fonti, indennità e ricompense

Sezione 7:

Controllo

Sezione 8:

Disposizioni finali

Commento ai singoli articoli Art. 6a

Organo responsabile

Cpv. 1 Per l'adempimento dei propri compiti legali secondo l'articolo 1 lettera a LSIC il SIC deve poter ricorrere al trattamento elettronico di informazioni concernenti l'estero rilevanti sotto il profilo della politica di sicurezza. Dal 21 giugno 2010 il trattamento avviene da parte di una cerchia limitata di utenti nel quadro dell'esercizio pilota ISAS sulla base dell'articolo 17a LPD.

Cpv. 2 Il detentore della collezione di dati di ISAS è il SIC. È competente per il rispetto delle prescrizioni sulla protezione dei dati, il trattamento delle richieste di informazioni e di rettifica, l'adempimento dei compiti di controllo e la garanzia della sicurezza informatica.

Art. 6b

Scopo

Cpv. 1 In ISAS sono trattate informazioni concernenti l'estero rilevanti sotto il profilo della politica di sicurezza. Con ciò s'intendono eventi e sviluppi all'estero atti a minacciare l'autodeterminazione della Svizzera e i suoi fondamenti democratici e costituzionali, nonché a cagionarle danni in diretta relazione con la sicurezza del Paese o a pregiudicare la capacità di agire delle sue autorità.

Cpv. 2 Le informazioni concernenti l'estero rilevanti sotto il profilo della politica di sicurezza sono registrate e trattate in ISAS. Sono analizzate principalmente all'attenzione dei dipartimenti e del Consiglio federale per ottenere una valutazione globale della situazione di minaccia. ISAS serve inoltre alla gestione di documenti su cui si basano le informazioni concernenti l'estero rilevanti sotto il profilo della politica di sicurezza e a documentare tali informazioni.

Art. 6c

Contenuto

Cpv. 1 In ISAS sono trattate informazioni che servono all'identificazione di persone, aziende, organizzazioni e istituzioni, come ad esempio nomi, cognomi, date di nascita, indirizzi, nazionalità, luoghi d'origine, numeri telefonici, ditte e sedi. Sono inoltre registrate anche informazioni concernenti eventi all'estero rilevanti sotto il profilo della politica di sicurezza e in particolare rilevanti per l'analisi della situazione come ad esempio luoghi, orari, azioni nonché persone, organizzazioni e istitu5729

zioni coinvolte. In ISAS possono essere memorizzati dati sotto forma di testi, immagini, suoni oppure in altri formati adeguati; sono possibili anche combinazioni di tali formati.

Le doppie registrazioni continueranno a costituire l'eccezione. Per quanto riguarda il principio di un'assegnazione esclusiva di una fattispecie da registrare in ISAS o in ISIS non cambia nulla. La prova che l'informazione non può essere separata deve emergere dalla comunicazione stessa o essere documentata dal SIC.

Cpv. 2 In ISAS possono essere trattati dati personali degni di particolare protezione. Questo perché il SIC può dovervi ricorrere per l'adempimento dei propri compiti, ad esempio per la registrazione dell'appartenenza religiosa nei casi di terrorismo di matrice religiosa.

Cpv. 3 Questo capoverso stabilisce che il trattamento dei dati è limitato agli scopi previsti dalla legge.

Cpv. 4 In deroga alle consuete condizioni di protezione dei dati, il SIC deve poter conservare anche i dati riconosciuti come inesatti e valutati di conseguenza. Nella valutazione di informazioni di intelligence occorre sempre considerare anche le attività di disinformazione e le informazioni false. Simili informazioni lasciano intravvedere le intenzioni dei rispettivi produttori e fornitori. Una volta individuata, la disinformazione o l'informazione falsa deve essere identificata in quanto tale e in quanto tale resa disponibile anche per il futuro, allo scopo di evitare errori di valutazione.

Nell'ambito della collaborazione internazionale le informazioni riconosciute come false devono essere accessibili per poter valutare in maniera corretta la futura diffusione di altre informazioni false (per es. identificazione errata di una persona come membro di un gruppo terroristico) e se del caso reagire. I dati riconosciuti come inesatti possono essere preziosi per valutare l'affidabilità, la lealtà o le intenzioni di una fonte umana o di un servizio partner.

Art. 6d

Controllo della qualità

Cpv. 1 La valutazione d'entrata comprende la verifica dell'esattezza e della rilevanza dei dati ricevuti, vale a dire la valutazione se una comunicazione è esatta e rilevante per l'adempimento dei compiti legali del SIC; le comunicazioni registrate nell'archivio dei documenti sono valutate globalmente.

Cpv. 2 La frequenza del controllo della qualità è definita dal Consiglio federale.

Cpv. 5 Diversi rapporti degli organi di vigilanza hanno mostrato quanto sia importante un controllo della qualità affidabile e strutturato per i dati del SIC. L'istituzione di un organo interno di controllo della qualità per quanto riguarda ISIS ha dato buoni risultati e sarà sancito anche a livello di legge. Tale organismo svolge regolarmente 5730

corsi di formazione nell'ambito di ISAS e garantisce, eseguendo controlli regolari, la qualità e la rilevanza delle informazioni trattate in ISAS.

Art. 6e

Struttura

Cpv. 1 ISAS si compone di tre parti: un archivio dei documenti, in cui sono digitalizzate e archiviate le informazioni concernenti l'estero rilevanti sotto il profilo della politica di sicurezza acquisite dal SIC o ricevute da quest'ultimo; il sistema di analisi e di aggiornamento della situazione, che accede alle informazioni memorizzate nell'archivio dei documenti, le struttura in oggetti, relazioni e comunicazioni e le completa con metadati; l'indice, che accede agli oggetti del sistema di analisi e di aggiornamento della situazione e a cui hanno accesso autorità esterne autorizzate (cfr. al riguardo il commento all'art. 6f).

Cpv. 2 Il SIC tratta sia le informazioni concernenti la Svizzera rilevanti sotto il profilo della politica di sicurezza (in ISIS), sia quelle concernenti l'estero (in ISAS). In considerazione delle diverse prescrizioni in materia di trattamento delle informazioni, queste due collezioni di dati continueranno a restare separate. Affinché il SIC possa tuttavia svolgere il compito di allestire un'analisi globale della minaccia (cfr. art. 3 cpv. 1 LSIC), deve poter accedere rapidamente a tutti i sistemi d'informazione che contengono informazioni rilevanti per l'adempimento dei compiti. Questa particolare possibilità di analisi e valutazione è già descritta nell'articolo 6 OSI-SIC. Agli utenti che lo richiedono sono comunicati unicamente i dati relativi a una persona, a un'organizzazione o a un evento che complessivamente riceverebbero anche in caso di consultazioni separate dei sistemi d'informazione in questione.

Art. 6f

Diritti d'accesso

Cpv. 1 Nella fase pilota di ISAS la cerchia di utenti è limitata, ma più che sufficiente a fini di test. Terminata la fase pilota, con l'introduzione del sistema d'informazione ISAS tale limitazione può essere abolita e la cerchia di utenti può essere estesa a tutti i collaboratori del SIC incaricati del rilevamento, della ricerca, della valutazione e del controllo della qualità dei dati e che necessitano di un accesso per l'adempimento dei propri compiti legali. La cerchia di utenti interna al SIC coinciderà quindi ampiamente con la cerchia di utenti di ISIS.

Cpv. 2 Affinché i collaboratori del SIC possano effettuare una consultazione trasversale (cfr. il commento all'art. 6e cpv. 2) di ISAS e ISIS, devono disporre in entrambi i sistemi dei corrispondenti diritti d'accesso. Il risultato della ricerca contiene unicamente le indicazioni che sarebbero visualizzate anche in caso di una consultazione separata di ISIS o ISAS.

5731

Cpv. 3 Gli utenti esterni hanno accesso unicamente all'indice. Sono l'Ufficio federale di polizia, i servizi informazioni cantonali nonché gli organi della Confederazione competenti per i controlli di sicurezza relativi alle persone.

Art. 6g

Comunicazione di dati personali ad autorità svizzere

Affinché il SIC possa adempiere il proprio compito, deve poter comunicare dati personali ad autorità svizzere (ad es. autorità di perseguimento penale, giudiziarie o di sicurezza). Le autorità sono stabilite dal Consiglio federale.

Per il resto, nel trattamento dei dati i segreti professionali continueranno a essere garantiti sia in Svizzera che all'estero.

Art. 6h

Comunicazione di dati personali ad autorità estere

Il presente articolo riprende in larga misura le collaudate disposizioni di cui all'articolo 17 capoversi 3 e 4 LMSI. La legislazione in materia di protezione dei dati prevede di regola che i dati personali possono essere comunicati soltanto agli Stati che garantiscono un livello di protezione dei dati paragonabile a quello svizzero (art. 6 cpv. 1 LPD). Ciò escluderebbe la collaborazione del SIC con la maggior parte dei Paesi extraeuropei se nel singolo caso non potessero essere applicate le eccezioni restrittive di cui all'articolo 6 capoverso 2 LPD. Ciò impedirebbe al SIC l'accesso a importanti fonti di informazioni proprio nelle regioni di crisi.

Per quanto riguarda la collaborazione con l'estero (compresa la comunicazione di dati personali) vi è una prassi consolidata seguita e controllata dagli organi di vigilanza (Vigilanza sulle attività informative del DDPS [in precedenza del DFGP] e Delegazione delle Commissioni della gestione delle Camere federali).

Il capoverso 2 lettera a consente ad esempio lo scambio preventivo di informazioni in relazione con l'incitazione pubblica a crimini o ad atti violenti (ad es. i «predicatori che incitano all'odio»).

Il capoverso 2 lettera d concerne le richieste di nullaosta o clearing a favore di persone che all'estero intendono ottenere l'accesso a progetti, informazioni, impianti classificati ecc. Simili informazioni sono di regola nell'interesse della persona in questione che altrimenti non potrebbe assumere un posto di lavoro o svolgere un'attività commerciale.

In questo contesto va anche ricordata la convenzione del 4 novembre 19507 per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU).

Art. 6i

Comunicazione di dati personali a terzi

Le attività di intelligence esigono talvolta di poter comunicare dati anche a terzi privati. Il contesto più frequente al riguardo è la motivazione di una domanda di informazioni del SIC: in occasione della richiesta di informazioni su persone fisiche o giuridiche, il SIC deve poter indicare alla persona interrogata su quale persona e in quale contesto necessita informazioni.

7

RS 0.101

5732

Art. 6j

Diritto di essere informati

Il diritto di essere informati si fonda sugli articoli 8 e 9 LPD (il cosiddetto diritto «diretto» di essere informati).

Art. 6k

Durata di conservazione

La competenza di stabilire la durata di conservazione dei dati ISAS è attribuita al Consiglio federale. Se l'organo interno incaricato del controllo della qualità giunge alla conclusione che i dati non sono più necessari, li distrugge immediatamente.

Art. 6l

Archiviazione

Cpv. 2 Analogamente alle autorità di perseguimento penale, vi sono singoli casi in cui anche il servizio informazioni, in quanto autorità che trasmette informazioni, deve poter consultare dati personali che ha già consegnato all'Archivio federale. Poiché ciò non è previsto nella legislazione in materia di archiviazione, tale disposizione corrisponde a una lex specialis.

3

Ripercussioni

Complessivamente occorre presumere che il livello di sicurezza sarà accresciuto. Il disegno di legge non crea tuttavia nuovi compiti. Non vi sono ripercussioni dirette sulle finanze e sull'effettivo del personale della Confederazione. Il disegno non ha inoltre ripercussioni né su Cantoni o Comuni (oppure centri urbani, agglomerazioni e regioni di montagna) né sull'economia, sulla società o sull'ambiente.

4

Rapporto con il programma di legislatura e con le strategie nazionali del Consiglio federale

Il presente progetto non è stato annunciato né nel messaggio del 25 gennaio 20128 sul programma di legislatura 20112015 né nel decreto federale del 15 giugno 20129 sul programma di legislatura 20112015. La LSI annunciata nel programma di legislatura 20112015 sostituirà la LSIC (e la LMSI) e nel contempo creerà una nuova base legale formale per il trattamento dei dati del SIC.

5

Aspetti giuridici

5.1

Costituzionalità e legalità

La LSIC si fonda sugli articoli 54 capoverso 1 e 173 capoverso 2 della Costituzione federale10 (Cost.). L'articolo 54 capoverso 1 Cost. prevede la competenza materiale della Confederazione per quanto riguarda gli affari esteri e quindi la competenza di 8 9 10

FF 2012 305 FF 2012 6413 RS 101

5733

disciplinare le attività del servizio informazioni concernente l'estero. L'articolo 173 capoverso 2 Cost. dichiara inoltre l'Assemblea federale competente per tutte le questioni non attribuite ad altre autorità. In questo ambito si situa anche la presente revisione parziale. Essa non supera il settore di compiti sancito dall'articolo 1 LSIC.

Nel presente caso si tratta del trattamento in Svizzera di dati concernenti l'estero, per cui è necessario garantire la salvaguardia dei diritti fondamentali costituzionali.

Le modifiche proposte nel quadro della presente revisione possono costituire un'ingerenza nei diritti fondamentali e in particolare nella sfera privata (art. 13 Cost.). In quanto elemento della sfera privata l'autodeterminazione informativa (art. 13 cpv. 2 Cost.) protegge qualsiasi trattamento di dati (cfr. DTF 122 I 360 in cui il Tribunale federale deduce il diritto all'autodeterminazione informativa quale parte del diritto alla libertà personale).

A tenore dell'articolo 36 Cost. le restrizioni dei diritti fondamentali devono fondarsi su una base legale, devono essere giustificate da un interesse pubblico o dalla tutela dei diritti fondamentali di terzi e devono rispettare il principio della proporzionalità.

Inoltre, non deve essere toccata l'essenza dei diritti fondamentali.

Per garantire l'esercizio di ISAS a tempo indeterminato le relative disposizioni devono essere sancite in una legge formale, la LSIC. Sia l'acquisizione dei dati archiviati in detto sistema sia il loro trattamento avviene sulla base della LSIC e riguarda informazioni concernenti l'esterno rilevanti sotto il profilo della politica di sicurezza.

L'interesse pubblico all'acquisizione e al trattamento dei dati è evidente e consiste nella protezione della sicurezza interna ed esterna.

Per giudicare la proporzionalità di una regolamentazione occorre valutare se è adeguata e necessaria e se è ragionevolmente proporzionata allo scopo perseguito. La misura che consiste nel trattamento e nella conservazione di informazioni concernenti l'estero rilevanti sotto il profilo della politica di sicurezza è adeguata a garantire la protezione della sicurezza interna ed esterna. Anche la necessità non può indubbiamente essere negata, poiché non è disponibile alcun mezzo meno rigoroso che consenta l'individuazione tempestiva di
potenziali pericoli per la sicurezza interna ed esterna.

Per tener conto del principio della proporzionalità, al momento della registrazione in ISAS la rilevanza e l'esattezza dei dati personali sono valutate mediante un controllo interno della qualità. Nell'ambito di una valutazione periodica è verificata la necessità dei dati rilevati per l'adempimento dei compiti; i dati non più necessari sono cancellati. Inoltre, i diritti d'accesso ai dati sono disciplinati in maniera restrittiva e la durata di conservazione limitata dal Consiglio federale.

La regolamentazione proposta è conforme alla Costituzione. I principi dello Stato di diritto sono pienamente salvaguardati.

5734

5.2

Compatibilità con gli impegni internazionali della Svizzera

L'essenza dei diritti umani interessati nonché i diritti umani intangibili della CEDU e dei Patti dell'ONU relativi ai diritti dell'uomo sono salvaguardati.

Il diritto di ogni singola persona affinché i dati che la concernono non siano né memorizzati né utilizzati, vale a dire trattati, è da considerare come parte del diritto al rispetto della vita privata (art. 8 CEDU). Le restrizioni devono essere conformi ai requisiti dell'articolo 8 numero 2 CEDU: una base legale nella legislazione nazionale che giustifichi l'ingerenza come un obiettivo legittimo e una necessità per una società democratica.

Le ingerenze sono giustificate unicamente se previste dalla legge. La Corte Europea dei Diritti dell'Uomo riconosce come sufficiente una legge in senso materiale se è formulata in maniera sufficientemente precisa e se è sufficientemente accessibile ai cittadini. Nel presente caso si tratta della creazione di una base legale formale conforme ai requisiti di precisione, poiché le regolamentazioni sul trattamento dei dati e il contenuto del sistema di trattamento dei dati consentono in misura sufficiente a ogni cittadino di individuare a quali condizioni il SIC tratta i dati. L'esigenza dell'accessibilità non dev'essere verificata ulteriormente, poiché tutte le leggi federali sono pubblicate nella Raccolta ufficiale (RU) e quindi sono accessibili a chiunque.

Un'altra condizione per ammettere un'ingerenza è che persegua un obiettivo legittimo. Quale obiettivo legittimo per giustificare ingerenze nella sfera privata secondo l'articolo 8 numero 1 CEDU, il numero 2 menziona, tra l'altro, la sicurezza nazionale e l'ordine pubblico. Per proteggere la sicurezza nazionale può essere indispensabile il trattamento di dati relativi all'identità di persone fisiche o giuridiche e di organizzazioni.

Oltre all'esistenza di un obiettivo legittimo l'ingerenza deve essere necessaria «in una società democratica». Dietro a tale formulazione si cela il principio della proporzionalità. A tal proposito è possibile rimandare a quanto menzionato in precedenza (cfr. n. 5.1).

La presente revisione è conforme alle esigenze di una legge in senso materiale. Le misure previste rappresentano un obiettivo legittimo per il mantenimento della sicurezza interna ed esterna della Svizzera e sono necessarie in una società democratica. Una
sentenza11 del Tribunale federale precisa al riguardo che a simili condizioni, esaminando in maniera più precisa le circostanze effettive e nell'ottica della concreta strutturazione della regolamentazione, la Corte Europea dei Diritti dell'Uomo ha ritenuto sia la sorveglianza segreta di persone sia la creazione, la conservazione e l'utilizzo segreti di schede che le riguardano in differenti configurazioni compatibili con la garanzia di cui all'articolo 8 CEDU («Unter solchen Voraussetzungen, bei genauer Prüfung der tatsächlichen Gegebenheiten und mit Blick auf die konkrete Ausgestaltung der Regelung hat der Gerichtshof sowohl die geheime Überwachung von Personen als auch das geheime Anlegen, Aufbewahren und Verwenden von Fichen über Personen in unterschiedlichen Konstellationen als mit der Garantie von Art. 8 EMRK im Einklang befunden [...].»).

11

DTF 138 I 6

5735

Il presente progetto non cambia nulla per quanto riguarda le basi per l'acquisizione di informazioni all'estero. Riguarda unicamente la gestione di dati già registrati.

Finché vengono rispettati determinati criteri, l'acquisizione di dati all'estero da parte dei servizi di intelligence non è considerata nella prassi degli Stati come un atto contrario al diritto internazionale; l'ulteriore trattamento dei dati concernenti l'estero in una banca dati non è a sua volta vietato dal diritto internazionale se le summenzionate disposizioni in materia di diritti umani sono rispettate.

5.3

Forma dell'atto

Gli atti normativi dell'Assemblea federale devono essere emanati sotto forma di legge federale o ordinanza. Il presente atto legislativo stabilisce limitazioni di diritti costituzionali nonché i diritti e gli obblighi di privati, quindi deve essere emanato sotto forma di legge federale.

5.4

Delega di competenze legislative

La legge contiene norme di delega al Consiglio federale e al DDPS.

Una delega al Consiglio federale è prevista in relazione con il catalogo dei dati personali trattabili, le competenze nel trattamento dei dati, i diritti d'accesso, la frequenza del controllo della qualità, la durata di conservazione e la cancellazione dei dati, le disposizioni in materia di sicurezza dei dati, la cerchia dei destinatari in caso di comunicazione dei dati ad autorità svizzere nonché l'archiviazione e la distruzione. La delega è necessaria, poiché riguarda disciplinamenti il cui grado di concretezza esulerebbe da quello di una legge.

La delega al DDPS comprende unicamente il disciplinamento dei campi di dati.

5.5

Protezione dei dati

La presente revisione parziale risponde alle esigenze in materia di protezione dei dati di una base legale formale per la banca dati ISAS.

5736